数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字证书的格式一般采用X.509国际标准。福建CA中心主要签发个人和企业身份证书、服务器证书等几种类型证书。
由于Internet电子商务系统技术使在网上交易各方能够极其方便轻松地获得政府、机构、商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。交易各方在网上的一切行为都必须是真实可靠的,并且要使顾客、商家、企业和机构等交易各方都具有绝对的信心,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须依靠数字证书保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
在现实生活中签名的目的归纳起来有以下几个方面:
● 验证签名者身份
● 表明签名者确认被签名文件的内容
● 确保己签名文件的内容不被篡改
● 防止签名者的抵赖行为
若要在电子文档上实现签名,可以使用数字签名。RSA公钥体制可实现对数字信息的数字签名,方法如下:信息发送者用其私钥对从所传报文中提取出的特征数据(或称数字指纹)进行RSA算法操作,以保证发信人无法抵赖曾发过该信息(即不可抵赖性),同时也确保信息报文在传递过程中未被篡改(即完整性)。当信息接收者收到报文后,就可以用发送者的公钥对数字签名进行验收。
在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数)生成的。对这些函数的特殊要求是:接受的输入报文数据没有长度限制;对任何输入报文数据生成固定长度的摘要(数字指纹)输出;从报文能方便地算出摘要;难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要;难以生成两个不同的报文具有相同的摘要。
收方在收到信息后按如下步骤验证签名:使用自己的密钥将信息转为明文;使用发信方的公钥从数字签名部分得到原摘要;收方对所发送的源信息进行hash运算也产生一个摘要;收方比较两个摘要,如果两者相同,则可以证明信息签名者的身份,如果两摘要内容不符,则可能对摘要进行签名所用的私钥不是签名者的私钥,这就表明信息的签名者不可信,也可能收到的信息根本就不是签名者发送的信息,信息在传输过程中己经遭到被坏或篡改。
●企业或机构身份证书
企业证书中包含企业身份信息、公钥及CA的签名,在网络通讯中标识证书持有企业的身份,可用于网上税务申报、网上办公系统、网上招标投标、网上拍卖、网上签约等多种应用系统。
●服务器身份证书
服务器身份证书中包含服务器信息、公钥及CA的签名,在网络通讯中标识证书持有服务器的身份。用于电子商务应用系统中的服务器软件向其他企业和个人提供电子商务应用时使用,服务器软件作为电子商务服务提供者,利用证书机制保证与其他服务器或用户通信的安全性。主要用于网站交易服务器,目的是保证客户和服务器产生与交易支付等信息相关时确保双方身份的真实性、安全性、可信任度等。
目前,数字证书的存储介质主要有软盘、硬盘、IC卡及USB KEY等形式。使用软盘的优点是:价格便宜、便于携带,缺点是:容易损坏且被他人非法拷贝而不易察觉,因此软盘存储证书只适用于只在家中使用电脑的个人用户,使用硬盘存储也只适用于不常更换电脑的个人用户。使用软盘或硬盘存储数字证书还有一个安全问题,即当使用证书时,必须将证书和私钥导入IE中,此时如有人使用用户的电脑,就可以非法使用该用户的数字证书。使用IC卡和USB KEY就可避免上述安全问题的发生,因为用户私钥是在IC卡和USB KEY中产生的,且私钥不可导出,在IE中使用导入的证书时,如果没有IC卡或USB KEY也是无法使用的。但是IC卡和USB KEY相对软盘来说,价格较为昂贵,且IC卡还必须有专用的读写器,使用起来更为烦琐,因此IC卡将逐渐被淘汰,而USB KEY因其小巧美观,安全方便,将逐渐成为数字证书存储的首选设备。
福建省数字安全证书管理有限公司采用的证书介质如下图:
目前与SSL协议配合并且得广泛使用的证书标准是X.509 V3。该标准规定了证书的格式,并且规定了建立证书发放系统的一些模式。
福建CA中心颁发的数字安全证书采用X.509 V3版,其内容包括:
1)版本号—标示证书的版本(版本1、版本2或是版本3)
2)序列号—由证书颁发者分配的本证书的唯一标识符。
3)签名—签名算法标识符(由对象标识符加相关参数组成),用于说明本证书所用的数字签名算法。例如,SHA-1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA-1杂凑加密。
4)颁发者—证书颁发者的可识别名(DN),这是必须说明的。
5)有效期—证书有效的时间段。
6)主体—证书拥有者的可识别名——此字段必须是非空的, 除非使用了其他的名字形式。
7)主体公钥信息—主体的公钥(以及算法标识符)。
8)颁发者唯一标识符—证书颁发者的唯一标识符,仅在版本2和版本3中要求,属于可选项。
9)主体唯一标识符—证书拥有者的唯一标识符,仅在版本2和版本3中要求,属于可选项。
10)扩展—可选的标准和专用扩展。
数字安全证书利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户共享,用于加密和验证签名。
word/media/image3_1.png
word/media/image5_1.png
大多数情况下,当你申请数字证书时,激活安全设置会为你产生密钥对。出于安全性考虑,密钥对应当在本地产生并且私人密钥不会在网上传输。
一旦产生密钥对,就应在认证中心登记自己的公共密钥,随后认证中心将发送给用户数字凭证,以证实你的公共密钥及其他一些信息。为简化对密钥的管理工作,大多数用户都不应为一把密钥申请多份数字凭证。
假设要找到用户甲的公共密钥,有许多可行方法,打电话给他,请他将公共密钥通过电子邮件发给你,也可发电子邮件向他提出请求,也可从福建CA中心提供的目录服务上查找,由于目录提供了抗攻击能力,用户可以确信其上所列的公共密钥都是属于用户甲的。
遵照X.509标准的在线目录服务将包含数字证书及公共密钥,可通过福建CA中心主页查找对方的数字证书。
福建省数字安全证书管理有限公司(简称福建CA中心),是由福建省经济贸易委员会承建,福建金贸、福建凯特联合出资组建,是国家密码管理委员会办公室及福建省政府批准的福建省内唯一的数字证书发证机构,福建CA中心是“数字福建“的骨干工程,在经过一年的建设后,现已成为我国首家通过国家密码管理委员会技术鉴定的区域性CA中心。
福建CA是一个具有权威性、公正性、唯一性的机构,他负责向福建省内从事电子政务、电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的数字安全证书,现经福建省政府办公厅(闽政办(2002)函6号)批准,在全省范围内使用福建省数字安全证书,使用范围为:工商、税务、证券、技术监督、公安、卫生、农业、林业、乡镇企业行业。
福建CA中心的宗旨是为互联网络交易和作业的主体提供信任和安全的服务,保证交易和作业主体身份的真实性、信息保密性和完整性,以及交易的不可抵赖性,实现跨地区跨行业的互认互通,成为资源共享、公正信任的第三方。
福建CA中心主要是为福建省的电子商务、电子政务、网上金融、网上证券、网上办公等提供安全可靠的认证和信任服务,并提供证书管理器、CA安全引擎等各种相关产品和软件。福建CA中心同时还提供电子认证、证书目录查询、数据库安全托管、密钥托管、企事业单位安全办公、政府安全上网及各类安全架构建设、培训等一系列服务和解决方案。
省粮油储备管理系统安全认证部分采用多层网状结构:省级服务器、地市级服务器以及末端粮库。其中,各级服务器均安装有服务器身份证书,末端所有粮库安装有单位身份证书。
word/media/image6_1.png
无论是上级向下级或是下级向上级的连接均采用安全连接方式(SSL)。所有数据全部经过加密之后进行传输。
粮库证书中,只有证书名称与服务器上实现存储好的名称一致的计算机才可以连接到服务器。为确保下级上报数据的真实有效性,关键数据、报文的提交需要使用数字签名。
下级粮库向上级服务器提交信息并作数字签名的过程如下:
首先,下级粮库使用专门的会话密钥对信息进行加密;然后使用上级服务器的公开密钥对会话密钥进行加密。
与此同时,由MD5算法对信息进行加密,并使用粮库数字证书的私有密钥对加密后的信息再次加密形成数字签名。
最后,将所有的加密信息以及数字签名通过安全传输通道传输给上级服务器。上级服务器的解密以及获取数字签名的过程是以上过程的逆过程。
所有证书全部由福建省数字安全证书管理有限公司统一签发。申请、挂失数字证书等操作均需要填写相应的申请表单,并将表单交给福建CA统一处理。根据中华人民共和国国务院令第273号《商用密码管理条例》规定:
“第七条 商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。”
“第十四条 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。”
根据福建省物价局文件(闽价[2002]费20号),省粮油储备管理系统数字证书价格如下(金额单位:元):
证书维护以及挂失费用价格如下(金额单位:元):
福建省数字安全证书管理有限公司对省粮油储备管理系统安装、调试服务器证书,提供标准的应用程序接口以及相应的技术支持,培训省粮油储备管理系统技术人员学习服务器证书以及企业身份证书的安装,并收取相应费用。
本文来源:https://www.2haoxitong.net/k/doc/2e025f425727a5e9856a61ce.html
文档为doc格式